Huis Securitywatch Evernote reset wachtwoorden nadat aanvallers inloggegevens stelen

Evernote reset wachtwoorden nadat aanvallers inloggegevens stelen

Video: How to Lock and Unlock Notes on Mac (December 2024)

Video: How to Lock and Unlock Notes on Mac (December 2024)
Anonim

Online persoonlijke organisator Evernote reset wachtwoorden voor al zijn gebruikers nadat aanvallers de systemen van het bedrijf hebben overtreden en toegang hebben gehad tot inloggegevens, zei het bedrijf in een e-mail aan klanten.

Het Evernote beveiligingsteam ontdekte en blokkeerde "verdachte activiteit op hun netwerk die een gecoördineerde poging leek te zijn om toegang te krijgen tot beveiligde gebieden" van de Evernote-service, zei het bedrijf in een blogpost op 2 maart. Terwijl het onderzoek nog steeds loopt, team vond de database met namen van gebruikers, e-mailadressen en wachtwoorden waartoe aanvallers toegang hadden gekregen.

Evernote verzekerde gebruikers dat, hoewel de wachtwoorden waren blootgesteld, de schade beperkt was omdat het bedrijf "one-way encryption" (gehasht en gezouten) had gebruikt om de gegevens te beschermen. Dit betekent dat aanvallers het moeilijker hebben om de informatie te kraken om het daadwerkelijke wachtwoord te stelen. Het bedrijf zei ook dat er op dat moment geen aanwijzingen waren dat de details van de betaalkaart of daadwerkelijk opgeslagen inhoud waren blootgelegd.

"Als voorzorgsmaatregel om uw gegevens te beschermen, hebben we besloten om een ​​wachtwoordreset uit te voeren, " zei Evernote. We merkten op dat de beslissing een "overvloed aan voorzichtigheid" weerspiegelde.

Met Evernote kunnen mensen lijsten maken, notities opslaan en persoonlijke informatie organiseren, zoals videoclips, afbeeldingen, webpagina's en routes die in de cloud zijn opgeslagen. Het in Californië gevestigde bedrijf heeft naar schatting 50 miljoen gebruikers.

Wachtwoord opnieuw instellen en tips

In de e-mail aan klanten zei Evernote dat gebruikers wordt gevraagd een nieuw wachtwoord te maken nadat ze met hun oorspronkelijke inloggegevens zijn ingelogd. "Nadat u uw wachtwoord op evernote.com opnieuw hebt ingesteld, moet u dit nieuwe wachtwoord invoeren in andere Evernote-apps die u gebruikt, " zei de e-mail, zoals op mobiele apparaten. Het bedrijf werkt enkele apps bij om het wachtwoordwijzigingproces te vereenvoudigen.

Het bedrijf heeft enkele praktische tips in zijn e-mail opgenomen. Het herinnerde gebruikers eraan om geen eenvoudige wachtwoorden te gebruiken op basis van woorden in het woordenboek en nooit hetzelfde wachtwoord te gebruiken voor meerdere sites of services.

"Zoals recente gebeurtenissen met andere grote diensten hebben aangetoond, komt dit soort activiteiten steeds vaker voor, " zei Evernote.

Heeft u te veel services en kunt u geen sterke en unieke wachtwoorden bijhouden voor elke? Neil Rubenking van PCMag heeft verschillende wachtwoordbeheerders bekeken, zoals 1Password en Editor's Choice LastPass 2.0.

Evernote herinnerde gebruikers er ook aan nooit op "reset wachtwoord" links in e-mails te klikken. Het is moeilijk te zeggen wanneer een e-mailbericht een legitieme inbreukmelding van het bedrijf is en wanneer het een phishingbericht is om uw informatie te stelen. Als u denkt dat er een inbreuk is, gaat u naar de site en stelt u de wachtwoorden opnieuw in met behulp van het wachtwoordmechanisme van de site. Klik nooit op de link in de e-mail.

Evernote heeft echter één fout gemaakt. De e-mail van Evernote, met de onderwerpregel "Evernote Security Notice: Serivce-wide Password Reset", bevat een aantal ingesloten links naar evernote.com. Als de gebruiker echter over de link zweeft, leek evernote.com door te verwijzen naar een mkt5371.com-domein, merkte Graham Cluley van Sophos op het Naked Security-blog op. In dit geval was het een marketingfout, omdat het domein eigendom is van e-mailcommunicatiebedrijf Silverpop, die de e-mail namens Evernote heeft verzonden.

Hoewel het begrijpelijk is, lijkt het "niet op zijn plaats te zijn in een e-mail over een inbreuk op de beveiliging die probeerde het punt te ondermijnen om 'Nooit op' wachtwoord opnieuw instellen 'in e-mails te klikken - ga in plaats daarvan rechtstreeks naar de service", zei Cluley.

"Je zou zeker kunnen begrijpen waarom iemand die in paniek raakte door de inbreuk op de Evernote-beveiliging, zou worden gealarmeerd om een ​​e-mail met dergelijke links te ontvangen, " voegde hij eraan toe.

Evernote reset wachtwoorden nadat aanvallers inloggegevens stelen